Die neue EU-Datenschutz- Grundverordnung – was Behörden wissen müssen



Werbung:

Social Analyse Tool




Erstellt von Sophos in Zusammenarbeit mit Rechtsanwältin Dr. Bettina Kähler

Das Problem:

Ein Datenschutz-Flickenteppich. Zurzeit bestehen in den 28 Mitgliedstaaten der EU 28 verschiedene Datenschutzgesetze – und in Deutschland kommen zum Bundesdatenschutzgesetz noch 16 Landesdatenschutzgesetze dazu, die für die Behörden gelten. Einzig die EU-Datenschutzrichtlinie von 1995 hält den Flickenteppich zusammen.

Die Folge:

Europaweit, aber auch innerhalb Deutschlands bestehen ungleiche Datenschutzniveaus und die Möglichkeit gerade der internationalen Durchsetzung von Datenschutzrechten ist begrenzt und schwierig. Die Technik hat das Recht längst überholt. Es gibt kein passendes Datenschutzrecht für die Informationsgesellschaft.

Die Lösung:

Die Schaffung einheitlicher Datenschutzstandards für alle durch eine EU-Datenschutz-Grundverordnung (DSGVO). Verabschiedet im Mai 2016 muss die neue Verordnung ab dem 25. Mai 2018 auch in Behörden umgesetzt sein. Ziel der neuen DSGVO ist die Etablierung hoher Datenschutzstandards, die einheitlich in der ganzen EU gelten und dem Internetzeitalter angemessen sind. Die Verordnung löst alle bestehenden nationalen Gesetze ab und wirkt wie ein europäisches Gesetz.

Ein so grundlegend neues Gesetzeswerk wirft viele Fragen auf, zumal es – bezüglich der Etablierung technischer und organisatorischer Sicherheitsmaßnahmen – neue und detailliertere Anforderungen festschreibt, die Behörden ab Ende Mai 2018 zu beachten haben. Mit dieser Information möchten wir Ihnen einen Überblick über die zentralen Änderungen geben, die zu diesem Zeitpunkt umgesetzt sein müssen und der Frage nachgehen, was diese für Behörden bedeuten.

Sophos Whitepaper Mai 2017

Die neue EU-Datenschutz-Grundverordnung – was Behörden wissen müssen

Die Verordnung:

Die EU-Datenschutz-Verordnung erfasst alle Unternehmen und Behörden, die in irgendeiner Form, sei es off- oder online, automatisiert oder teilautomatisiert, mit personenbezogenen Daten arbeiten. Grundsätzlich gilt sie also für jede Behörde,
die selber oder im Auftrag von anderen Behörden personenbezogene Daten
verarbeitet. Ausgenommen sind nur die Strafverfolgungsbehörden sowie die Strafvollstreckungsbehörden. Die De nition des Begriffs der personenbezogenen Daten umfasst nunmehr nicht nur die Merkmale, die eine Person direkt identi zieren (z.B. Name und Anschrift), sondern auch die Angaben, die sie mittelbar identi zierbar machen, wie z.B. IP-Adressen, Cookies, RFID-Tags, Standortdaten.

Die neuen Anforderungen:

Verglichen mit dem in Deutschland noch geltenden Datenschutzrecht beinhaltet die DSGVO erheblich gesteigerte Anforderungen an Behörden, ihre personenbezogenen Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation
zu schützen. Waren begrenzte und konkret bezeichnete Maßnahmen in den Landesdatenschutzgesetzen die Grundlage für die Verp ichtung von Behörden, personenbezogene Daten technisch und organisatorisch gegen Missbrauch zu abzusichern, bestehen dann mit der EU-Verordnung klare Vorgaben, mit welchem
Ziel und mit welchen Methoden diese Absicherung zu geschehen hat. Behörden
werden daher zukünftig deutlich mehr Überlegung und Aufwand in die dann vorgeschriebenen Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und datenschutzfreundliche Techniken investieren müssen. Hinzu kommen Nachweisp ichten und Informationsp ichten an die Datenschutz-Aufsichtsbehörden im Fall von Datenpannen, die ausgeweitet wurden.

Im Einzelnen:

Die in dem Verordnungsentwurf formulierten gesteigerten Anforderungen lesen sich in Teilen wie eine Antwort auf die datenschutzrechtlichen Missstände und Regelungslücken der vergangenen Jahre:

• Technische Sicherheitsmaßnahmen: Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten. Behörden müssen eine Sicherheitspolitik etablieren, die auf der Grundlage einer Risikoanalyse die unter anderem die nachfolgend genannten Punkte umfasst:

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten im Falle eines physischen oder technischen Zwischenfalls rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Sophos Whitepaper Mai 2017

Die neue EU-Datenschutz-Grundverordnung – was Behörden wissen müssen

Im Ergebnis sind Behörden damit verp ichtet, ein Informationssicherheitsmanagementsystem und ein Risikomanagement zu etablieren, um den Anforderungen der DSGVO zu genügen. Diese Verp ichtung trifft nicht nur Behörden, die ihre eigenen Daten verarbeiten, sondern ausdrücklich auch diejenigen, die die Daten im Auftrag anderer verarbeiten.

• DieFolgenabschätzen: InFällen,indenenBehördenDatenverarbeitungen durchführen, die ein hohes Risiko für die Rechte der betroffenen Personen bergen, sind nach der DSGVO datenschutzrechtliche Folgenabschätzungen durchzuführen. Dies gilt beispielsweise für die umfangreiche Verarbeitung von Gesundheitsdaten oder die Pro lbildung. Die DSGVO gibt dabei beispielhaft vor, welche Punkte mindestens zu prüfen sind, darunter eine systematische Beschreibung der geplanten Verarbeitungen und deren Zweck, verbunden mit einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den Zweck.

Die Vorbereitung:

Die DSGVO ist bereits in Kraft getreten, aber die Umsetzungsfriste endet im Mai 2018. Es ist daher höchste Zeit, die Vorbereitungen zu beginnen. Eine gute Vorbereitung bezieht alle datenschutzrechtlich relevanten Abläufe in einer Behörde ein und legt den Schwerpunkt auf die Etablierung technischer Sicherheitsmaßnahmen, sowie deren Dokumentation und Nachweisbarkeit und den Einsatz datenschutzfreundlicher Technologien von Anfang an.

Zentral ist die von dem Entwurf der Datenschutzgrundverordnung geforderte Absicherung der personenbezogenen Daten gegen unbefugte Verarbeitung, Zerstörung und Verlust. Insofern sind Behörden gut beraten, moderne technische Kontrollmechanismen zu implementieren, die von Anfang an verhindern, dass Unbefugte personenbezogene

Daten lesen, kopieren, verändern oder vernichten können. Vorbild kann das Vorgehen der Unternehmen sein, die aufgrund ähnlich strenger gesetzlicher Vorgaben schon heute hohe technische Sicherheitsstandards umsetzen müssen. Der Payment Card Industry Data Security Standard (PCI DSS) und das US-Bundesgesetz Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen in den USA, sind nur zwei Beispiele für Vorschriften, die Datenschutzstandards und -kontrollen ähnlich wie in der DSGVO vorsehen. An diesen Standards können sich Behörden daher bei der Auswahl konkreter Sicherheitsmaßnahmen orientieren.











Werbung:







Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.